0:5 – Keine Chance für das 08/15-Unternehmen gegen die Ransomware-Elf

Am 2. Juli startet die Fussball-EM der Frauen in der Schweiz. Höchste Zeit, einen Cyber-Angriff mal aus der Perspektive eines Fussball-Live-Tickers zu analysieren.

Spoiler: Das 08/15-Unternehmen bleibt chancenlos gegen die Ransomware-Elf.

Es ist wenig überraschend: Das Scout-Team der Angreifer bereitet sich professionell vor. Es beginnt mit Open Source Intelligence, scannt das Netzwerk des Gegners, wertet LinkedIn-Profile, Pressemitteilungen und Webseiten aus – alles wird analysiert. Man ist sich schnell einig: ein verlockendes Ziel, ein mittelständisches Unternehmen, veraltete Systeme, Ressourcenengpass in der IT, Kostendruck. Eine massgeschneiderte E-Mail wird vorbereitet – eine perfekt getimte Bewerbung mit infiziertem Lebenslauf im Anhang, basierend auf einem Zero-Day-Exploit.

Der Trainer (CISO) des 08/15-Unternehmens gab sich Minuten vor dem Spiel noch zuversichtlich. Man sei gut vorbereitet, habe gerade die IT-Security-Weisungen aktualisiert und mit Microsoft einen Vertrag über E5 abgeschlossen.

Kaum ist das Spiel eröffnet, erreicht bereits die Phishing-E-Mail das Zielsystem.

Der Mitarbeitende im HR öffnet die PDF. Kein Abseits, kein VAR – der erste Schädling läuft bereits ins Netz. Der Dropper installiert eine Remote-Shell. Verbindung zum Command & Control-Server steht. Der Admin merkt nichts – auf externe SOC-Dienstleistungen hat man aus Kostengründen verzichtet. Es steht 0:1 für die Ransomware-Elf.

Mimikatz kommt ins Spiel. Die Zugangsdaten für das Active Directory werden aus dem Speicher gelesen. Die Ransomware-Elf spielt sich warm. Das IT-Mittelfeld des 08/15-Unternehmens verhält sich viel zu passiv.

Lateral Movement über SMB. Drei weitere Rechner übernommen. Die Verteidigung ist unsortiert. Niemand verhindert, dass sich der Gegner durchs Netzwerk kombiniert.

Ein auffälliges PowerShell-Skript läuft auf mehreren Maschinen. Microsoft Defender scheint nicht richtig konfiguriert. Keine Reaktion vom Team 08/15 und auch der VAR ist blind bei dieser unfairen Aktion.

Ein Domain-Admin wird übernommen. Voller Zugang zum Spielfeld. Der gegnerische Trainer ist komplett ahnungslos – er beschäftigt sich gerade mit dem neuen Datenschutzgesetz und den Auswirkungen auf sein Unternehmen.

Die Ransomware-Elf dominiert, das Unternehmen 08/15 steht komplett neben sich. Erste Fans merken: «Das kommt nicht gut. Wir waren auf dieses Spiel nicht vorbereitet.»

Alle Systeme werden gleichzeitig verschlüsselt. Eine Ransomware übernimmt das Spiel. Schwarze Bildschirme, blinkende Botschaften – das Stadion verstummt.

Die Angreifer vom Team Ransomware laden 300 GB an sensiblen Kunden-, Personal- und Vertragsdaten auf ausländische Server hoch. Das ist quasi mehr als nur ein Gegentreffer – das ist ein Eigentor. Das dürfte bereits die Entscheidung sein.

Versuch, die Systeme runterzufahren und Backups einzuspielen. Leider gibt es Probleme mit dem Recovery-Prozess – dieser wurde schon länger nicht mehr geübt. Klassischer Fehler.

Ein unübersehbarer Text auf dem Stadion-Screen: «Ihre Daten wurden verschlüsselt. Zahlen Sie 5 Bitcoins – sonst sind Ihre Daten verloren!»

Die Partie dauert noch, aber der CEO wird bereits zum Interview gebeten. «Wir sind Opfer eines Angriffs geworden […] Wir wurden auf dem falschen Fuss erwischt […] Das kann heutzutage jedem Unternehmen passieren.»

Die Fans pfeifen. Sie fordern Rückerstattung und verlassen bereits das Stadion. Der Börsenkurs sinkt. Sponsoren springen ab.

Die Verhandlungen mit den Angreifern laufen. Keine Garantie auf Datenwiederherstellung. Die Aufräumarbeiten werden Wochen in Anspruch nehmen und grosse Kosten verursachen. Mitarbeitende, Kunden und Lieferanten sind verunsichert.

Team Ransomware bedankt sich – und ist gedanklich schon beim nächsten Spiel.

Vielleicht gegen Ihr Unternehmen?

Mit Mittelmass und ohne entsprechende Vorbereitung gewinnt man keine Spiele auf dem harten Rasen des Cyber-Fussballs.